改善计算机硬化的六个步骤

随着针对工业流程的网络安全攻击变得越来越普遍，采取积极措施保护关键控制系统的公司也越来越多。顾问和顾问——内部和外部的——经常向关键人员提供一份关于如何提高整体安全的要求和建议清单。这个清单几乎总是包括“强化”工业计算机的要求。

硬化是一种过程，其中计算机对来自恶意攻击和意外感染的网络侵扰。通过将系统定位拒绝某些攻击等级，并通过记录系统活动来解决已知的漏洞，并通过记录系统活动来解决已知漏洞的硬化。

工业计算机永远不会完全不受入侵，但硬化过程为工业系统提供额外的网络安全保护层。值得探索六种不同的硬化区域，每个硬化都应该得到深入的研究。但是，作为起点，请考虑以下概述：

1.更新和补丁工业PC

任何保护系统免受网络攻击的尝试都是不完美的。硬件和软件的每个元素都有潜在的漏洞。制造商发布更新和补丁以修复潜在的和已知的漏洞。及时应用这些补丁和更新是保持计算机抵抗攻击的最好方法之一。当现有的漏洞仍然没有得到修补，并且发现的时间增加时，机器就会变得越来越脆弱。

在工业世界中，停止生产往往是不切实际的，每周停止涂抹贴片，但建议使用计划的补丁申请计划，也许季度。同样重要的是要识别，并非每个补丁都应该立即应用。当涉及原始设备制造商（OEM）控制软件时，导致工业软件失败的未测试补丁的风险可能很高。大多数OEM都有自己的测试程序，验证对自己的设备的操作系统（OS）修补程序，有时操作系统修补程序驱动OEM系统的相应更新。

2.防止工业pc挂载文件系统

与任何计算机一样，工业PC容易受到包含受感染数据的设备的个人。即使没有恶意的意图，一个想要展示他们孩子们的同事图片的运营商可能会插入拇指驱动器。一种善意的工程师，需要移动数据文件可能使用便携式硬盘驱动器而不是遵循正确的安全文件传输方法。评估危险文件的系统通常是超出日期，因此可以更直接地防止完全访问新的文件系统。如果操作系统拒绝识别文件，则无论设备是否被感染，都无关紧要。

3.防止工业PC的新网络附件

从工业计算机到不受信任的网络的证据并不罕见。无论是Wi-Fi连接到热点，无法观看YouTube，还是通过充电意图插入iPhone，除了授权的工业控制网络之外的任何网络连接都是高风险。一旦建立了设计的网络连接，应防止所有额外的网络连接。

4.防止在工业PC中的应用程序和文件控制不受信任使用

计算机的操作基于运行它的程序。只允许计划正常使用的程序。授权用户应该是允许执行所需程序的唯一一个。必须防止未经授权的用户执行不受信任甚至可信的程序。同样，磁盘上的修改文件也应限于授权进程和用户。

5.主机防火墙以防止不受信任的网络流量到工业PC

主机防火墙是在本地运行计算机的程序，以防止未经授权的网络通信。它们可以限制可以交换的数据类型，用于交换的协议以及对话的终点。网络防火墙应防止防火墙在物理上安装的位置的不需要的流量，但是将它们与每个单独的计算机相邻时通常是不可行的。每台计算机上的主机防火墙将防止在同一物理网络区域中的计算机之间的不需要的流量。

6.日志记录活动，无论是实时检测和事后审计的工业pc

系统活动日志记录并不一定地硬化单个计算机，但它可以帮助包含它们的系统的整体硬化。所有音符活动，例如网络事件，用户身份验证故障和成功，文件系统更新以及许多其他都应记录到本地计算机之外的位置。一个集中的事件管理系统可以在发生的情况下评估记录的事件，以便检测可能的负面活动并及时保护行动。事件的历史记录可以帮助评估事实后的攻击，以便可以识别和修复特定的漏洞。

所有六个区域的硬化都可以在某种程度上实现，具有大多数OSS内置的工具和功能。此任务需要对操作系统的具体知识，安全要求以及如何与每台计算机上运行的工业软件交互。可以购买或许可安全软件以更用户友好的方式执行任务。一些工业设施与工程人员有必要的技能，以实施和维持资产硬化计划，但许多人没有。资源有限的地方，第三方合作伙伴可以帮助将系统带到所需国家和长期维护工作所需的前置努力。

当使用第三方合作伙伴进行实施和维护时，当使用商业安全软件时，重要的是要认识到本地工程人员仍然需要参与系统的操作和监控。加固工业计算机不是一次性的工作;这是一个必须不断审查和更新的持续过程。

罗伯特亨德森他是CFE Media内容合作伙伴Maverick Technologies的首席工程师。由Chris Vavra编辑，网页内容经理，控制工程， CFE Media and Technology，cvavra@cfemedia.com

更多答案

关键词：网络安全、计算机硬

考虑一下这个

什么是你的公司在电脑硬化方面做而不是做什么？